NTFSと共有アクセス許可をトレースして、ファイルを書き込める(または書き込めない)理由を確認するにはどうすればよいですか?
私は、自分の最善の見積もりでは、書き込めないはずのフォルダに書き込める理由を突き止めようとしています。フォルダは「Everyone」と共有され、「フルコントロール」があり、ファイルはより制限されています。私の最善の推測は、私が書くことを可能にするある種のサブグループメンバーシップがあることですが、ActiveDirectoryに存在するグループのネストはかなり広範囲です。
フォルダへのファイルの書き込みを許可または禁止したACLエントリを教えてくれるツールはありますか?
有効なアクセス許可 ダイアログはわずかに役立ちますが、必要なのは「NTFSACLトレースツール」のようなものです。
試してください sysinternalsからのAccessChk:
安全な環境を構築したことを確認する一環として、Windows管理者は、ファイル、ディレクトリ、レジストリキー、グローバルオブジェクト、Windowsサービスなどのリソースに対して特定のユーザーまたはグループがどのようなアクセス権を持っているかを知る必要があります。 AccessChkは、直感的なインターフェイスと出力でこれらの質問にすばやく答えます。
それがうまくいくことはかなり確実です。
AccessEnum を使用してみてください。
これにより、ファイルとフォルダの両方について、ACLの読み取り/書き込みおよび拒否エントリを持つさまざまなセキュリティプリンシパルが提供されます。その無料のツールも。
レポートを実行したら、レポートを開いて、問題のファイルとフォルダーの一意のエントリを確認します。そこから有効な権限を確認してください。かなり手動でルックアップを実行しますが、フットワークを配置することで、非常に具体的な情報を取得できます。
Windowsは、最も狭いグループをチェックするだけで、これらの広いアクセス許可を絞り込むことを期待しているようです。それはそのようには機能しません。 NTFSアクセス許可は次のように決定されます。
- デフォルトでは、アクセスなしで開始します。
- allを構築して、allグループからのアクセス許可を1つの大きなセットに許可しますできるよ。
- allを奪うallグループからのアクセス許可を拒否する(したがって、どこでも拒否する他のすべてよりも優先されます)。
したがって、Everyoneグループにフルコントロールを付与し、他のグループへのアクセス許可のみを許可している場合、Everyoneグループの事実上のメンバーシップによりフルアクセスが許可されます。
Smb共有でACLを設定している場合は、ファイルシステムと共有メニューでアクセス許可を設定する必要があります。おそらく、共有権限でのみ全員に設定されます。